アクセス層1:
ネットワークTAPでトラフィックの漏れをすべて把握する
ここからは水澤氏が登壇し、複雑化したセキュリティ対策における解決策の考え方、コツについて紹介を行なった。
イクシアコミュニケーションズ株式会社 ネットワークビジビリティ・ソリューション
セールスエンジニア 水澤 景太氏
水澤氏は、まず「アクセス層」について「『見えないトラフィック』があるとセキュリティ対応が困難になる」と課題を指摘する。たとえば、脅威が検知されない時があるだけでなく、何か問題があった時にアクセスがログに残っておらず、原因が究明できない。そこで解決策としてあげられるのが「ネットワークTAP(タップ)の導入」だ。これによって、これまでとれていなかったトラフィックまでロスなく100%取得できるという。
従来のようなトラフィック監視システムとしてSPANポートを利用する場合、必ずしもトラフィックを100%コピーできているとは限らない。一定量を超えたり、スイッチのパフォーマンスが追いつかなかったりした場合、ロスが生じることがある。本来モニタリングツールに行くべきトラフィックが漏れている可能性があるという。
そこで、SPANポートに代えて、イクシアの「ネットワークTAP」を導入することで、上り下り両方向トラフィックを漏れなくコピーすることが可能であり、モニタリングツールが信号にフルアクセスできるようになる。つまり、モニタリングツールは、インライン接続と同じように、物理レイヤーエラーを含むトラフィックをすべて監視できるようになり、いざというときも原因究明のために全ログを解析できるという。
なお、物理環境だけでなく仮想マシン間に流れているトラフィックについても「仮想TAP」で漏れなく拾い、モニタリングツールに送り込むということも可能だ。
水澤氏は「『ネットワークTAP』はシンプルな作りで高い可用性を誇り、特に電源を必要としないFlex TAPでは故障を心配することなく利用いただける。海外はもとより、国内でもキャリアなどを含む重要なサービスでも活用されており、多くの実績を持つ。迅速な対応ができなければ、社会的責任を問われる時代に致命的なことになる。ぜひとも『ネットワークTAP』でネットワークトラフィックを漏れなく取得し、有事の対応に備えてほしい」と語った。
アクセス層2:
フェイルセーフ機能でネットワークアクセスの回復力を確保する
さらに「アクセス層」における課題としてもう1つ挙げられるのが「インラインツールのダウン、メンテ、交換時でのネットワークダウンタイム」である。通常のインライン接続では、メンテナンスのためにセキュリティ装置を取り外す必要が生じることもあり、その際は、ネットワーク全体に影響が出ることになる。そのため通常は休日や深夜などに対応することになるが、トラブル時にはオンタイムでも取り外さなければならず、システムをダウンさせることになる。
そこで水澤氏が薦めるのが「外部バイパススイッチの導入」だ。フェイルセーフ機能を持っており、万一インライン上のセキュリティ装置がダウンしても、事業継続性を担保できる。つまり、バイパススイッチを経由してセキュリティ装置へとトラフィックを受け渡すことで、いざ何かがあった際にもシステムを止めることなくセキュリティ装置を外すことが可能になるという。さらに接続しているセキュリティ装置に対してHeartbeatパケットで死活監視を行ない、万一の障害時でもフェイルオープンまたはクローズの処理が可能になる。
水澤氏は「独立したバイパススイッチを導入することでダウンタイムを回避したり、障害点を減少させたりするだけでなく、『装置の増設や管理が容易になる』点でも大きなメリットがある」と強調した。
